本文旨在就 2021 年產(chǎn)品開(kāi)發(fā)的整個(gè)生命周期（從設(shè)計(jì)到交付及以后）如何影響連接設(shè)備（通常也稱(chēng)為物聯(lián)網(wǎng) (IoT) 設(shè)備）的安全性提供一些見(jiàn)解和預(yù)測(cè).

目前，安全性主要僅在高端、下一代、昂貴的芯片中實(shí)現(xiàn)，這些芯片專(zhuān)為指定需要某種級(jí)別的安全性的公司而設(shè)計(jì)。然而，到 2021 年，這將不再是常態(tài)，因?yàn)榘踩猿蔀椤虮仨毘蔀椤行酒墓逃性O(shè)計(jì)特性，無(wú)論是 0.80 美元還是 8.00 美元的微控制器。雖然安全級(jí)別可能會(huì)根據(jù)所需的保護(hù)及其價(jià)值而有所不同，但每臺(tái)設(shè)備都需要具有一定的“衛(wèi)生”級(jí)別，該級(jí)別高于當(dāng)今的標(biāo)準(zhǔn)。安全將因此成為主流。

同時(shí)，安全將成為開(kāi)發(fā)流程的一部分，而不是分開(kāi)。企業(yè)中的最高管理層將意識(shí)到保護(hù)代碼意味著與保護(hù)客戶和企業(yè)直接相關(guān)。他們將開(kāi)始定義和制定政策以創(chuàng)建安全的供應(yīng)鏈，公司可以在其中管理每個(gè)產(chǎn)品中的內(nèi)容，包括其開(kāi)發(fā)和升級(jí)程序，并保護(hù)其知識(shí)產(chǎn)權(quán)。這些策略旨在確保從設(shè)計(jì)到交付的每一步的安全性，并防止黑客攻擊或后門(mén)。

此外，這些政策將要求安全及時(shí)地提供更新，并且只有在發(fā)生違規(guī)時(shí)，才能使用正確的加密技術(shù)應(yīng)用來(lái)自正確供應(yīng)商的正確版本的更新。

供應(yīng)鏈的可追溯性

最后，我們將看到一個(gè)更安全的全球供應(yīng)鏈的發(fā)展，它允許可追溯性，就像在農(nóng)業(yè)/食品行業(yè)一樣。在公司從不同制造商處采購(gòu)最終集成到最終產(chǎn)品中的芯片、子組件和其他設(shè)備時(shí)，必須在每一個(gè)點(diǎn)強(qiáng)制執(zhí)行安全性。

框架是從物聯(lián)網(wǎng)安全基金會(huì)等組織演變而來(lái)的，這些組織需要將身份構(gòu)建到產(chǎn)品中并包含在生產(chǎn)清單中。公司必須證明產(chǎn)品在其整個(gè)生命周期中是如何管理的，以確保它不被克隆、不被偽造并且是安全的。我們需要確保產(chǎn)品具有可追溯性，就像今天的食物可以從農(nóng)場(chǎng)追溯到餐桌一樣。

這種思維方式和行為的變化部分來(lái)自立法，部分來(lái)自潛在威脅。例如，美國(guó)于 2020 年 12 月 4 日通過(guò)了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》 。它要求美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 和管理和預(yù)算辦公室采取特定措施來(lái)提高物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全。

這是 2020 年獲得兩黨支持的少數(shù)法案之一，凸顯了其重要性。在整個(gè) 2021 年，這將推動(dòng)增強(qiáng)型設(shè)備的采用，因?yàn)樗粡?qiáng)制執(zhí)行以滿足要求。這是一個(gè)巨大的轉(zhuǎn)折點(diǎn)。他們將需要 Secure Thingz Embedded Trust 和 IAR Systems C-Trust 等產(chǎn)品來(lái)幫助滿足這些要求。

另一個(gè)例子是在線危害立法，我們預(yù)計(jì)該立法將在 2021 年成為常態(tài)。世界各國(guó)都在通過(guò)法律，使他們能夠阻止社交網(wǎng)絡(luò)、搜索引擎和其他服務(wù)等服務(wù)，如果它們虛假地啟用有害內(nèi)容。此類(lèi)立法將迫使最高管理層對(duì)其產(chǎn)品和服務(wù)的使用方式承擔(dān)更多責(zé)任，包括對(duì)受害者的網(wǎng)絡(luò)跟蹤和強(qiáng)制操縱，以及主動(dòng)修復(fù)或管理已知問(wèn)題。

2021 年值得關(guān)注的其他重要事件包括：

GDPR 級(jí)別的罰款。歐盟簽署了EN 303 645 消費(fèi)者物聯(lián)網(wǎng)標(biāo)準(zhǔn)，預(yù)計(jì)將對(duì)數(shù)據(jù)泄露采取通用數(shù)據(jù)保護(hù)級(jí)別 (GDPR) 罰款，罰款范圍從 1000 萬(wàn)歐元到企業(yè)全球收入的 4% 不等。我們將看到其他國(guó)家效仿這一做法。

導(dǎo)致嚴(yán)重傷害或死亡的網(wǎng)絡(luò)物理事件，例如汽車(chē)黑客攻擊。

當(dāng) AI 系統(tǒng)學(xué)習(xí)或被教導(dǎo)錯(cuò)誤行為時(shí)，可能會(huì)發(fā)生意外或故意的重大人工智能 (AI) 中毒事件。

這些是將影響 2021 年的最重要的安全發(fā)展，以及一些我們可以期待的關(guān)于“頭條新聞”事件的預(yù)測(cè)。好消息是，存在確保應(yīng)用程序安全并按預(yù)期使用的技術(shù)。讓我們看看這一年會(huì)帶來(lái)什么。

審核編輯 黃昊宇